ГОСТ Р ИСО/МЭК 27003—2012
b
) классификация информационныхактивов;
c) требования организации к информационной безопасности.
Результаты оценки информационной безопасности вместес целями организации часто являются важ
ной частью стимуляции будущей работы в области информационной безопасности. Оценка информацион
ной безопасности должна проводиться внутренним или внешним проверяющим, независимым по отноше
нию к организации.
Участвовать в оценке информационной безопасности должны лица, хорошо знающие существую
щую среду, условия и ясно представляющие, что является важным в отношении информационной безо
пасности. Эти лица должны выбираться таким образом, чтобы представлять широкий круг работниковорга
низации. Круг таких лиц должен включать:
a)линейных руководителей (например, начальников подразделений организации):
b
) владельцев процессов (т. е. представителей важных подразделений организации);
c) других лиц. хорошо знающих существующую среду, условия и то. что является важным в отноше
нии информационной безопасности. Например, пользователи бизнес-процессов, а также сотрудники, вы
полняющие оперативные, административные и юридические функции.
Для успешной оценки информационной безопасности важными являются следующие действия:
a) определение и перечисление соответствующих стандартов организации (например. ISO/IEC
27002:2005);
b
)определение известных требований к управлению, установленных на основе политики, законных и
обязательных требований, договорныхобязательств, результатов прошедших проверок или оценок рисков;
c) использование этих документов в качестве справочных для приблизительной оценки существую
щих требований организации, касающихся уровня информационной безопасности.
Назначение приоритетов в сочетании с анализом организации создает основу, для которой должны
рассматриваться предупредительные мероприятия по безопасности и проверки (контроль).
Подход к проведению оценки информационной безопасности следующий:
a) выбрать важные бизнес-процессы в организации и этапы процессов, касающиеся требований к
информационной безопасности;
b
) составить подробную блок-схему, охватывающую основные процессы в организации, включая
инфраструктуру (логическую и техническую), если она еще не была составления во время анализа
организации;
c) обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации
в отношении требований к информационной безопасности. Например, какие процессы являются критичес
кими, насколько хорошо они в настоящее время работают? (Полученные результаты в дальнейшем ис
пользуются при оценке риска);
d) определить недостатки в управлении путем сравнения существующих средств управления с ра
нее определенными требованиями к управлению;
e) определить и документировать текущее состояние организации.
Выходные данные
Выходныеданные этого действия представляют собой документ, описывающий состояние безопас
ности в организации и обнаруженные уязвимости.
Дополнительная информация
Оценка информационной безопасности, проводимая на данном этапе, дает только предваритель
ную информацию о состоянии информационной безопасности в организации и уязвимостях, поскольку пол
ный набор политики и стандартов информационной безопасности разрабатывается на следующем этапе
(см. раздел 9). а оценка риска еще не проведена.
8 Проведение оценки риска и планирование обработки риска
8.1 Описание проведения оценки риска и планирования обработки риска
При внедрении СМИБ необходимо учитывать связанные с этим рискидля информационной безопас
ности. Определение, оценка и планируемыедействия в случае возникновения риска, а также выбор целей и
средств управления являются важными этапами внедрения СМИБ и должны быть проработаны на дан ном
этапе.
Стандарт ISO/IEC 27005:2008 содержит специальные рекомендации по менеджменту риска для ин
формационной безопасности и должен упоминаться в разделе 8.
20